Audit Operasional Komputer

Audit Operasional Komputer | pertemuan 3
disampaikan untuk Mata Kuliah Audit Sistem Informasi
Universitas Budi Luhur

Bicara tentang Audit Operasional Komputer tidak lepas dari membahas tentang strukturisasi fungsi teknologi informasi di suatu perusahaan.
Teknologi Informasi membutuhkan:

¨Data base Administration (DBA)

¨Data processing / pemrosesan data

¨Data control / pengendalian data

¨Data conversion / konversi data

¨Computer operation / operator komputer

¨Data library / perpustakaan data

Idealnya setiap fungsi yang ada harus dipisahkan orangnya.

 

Tujuan Pemisahan Pekerjaan yang tidak bersesuaian

1.Pemisahan fungsi otorisasi transaksi dari pemrosesan transaksi

2.Pemisahan fungsi pencatatan dari pengamanan aset

3.Membagi fungsi pemrosesan transaksi ke beberapa orang

 

Memisahkan pengembangan sistem dari operator komputer

¨Bila seseorang memiliki pengetahuan yang rinci mengenai logika dan parameter pengendalian aplikasi serta akses ke sistem operasi komputer maka orang itu dapat melakukan perubahan tidak sah ketika aplikasi dijalankan.

¨Perubahan itu bersifat sementara dan akan hilang tanpa jejak ketika aplikasi dinonaktifkan

Memisahkan administrasi basis data dari fungsi lainnya

 ¨Bila administrator mendelegasikan pekerjaannya ke orang lain yang pekerjaannya tidak ada hubungannya dengan basis data maka dapat mengancam integritas basis data

Memisahkan fungsi pengembangan sistem dari pemeliharaan sistem

¨Bila programmer diminta untuk mengkodekan sistem dan memelihara sistem maka potensi yang akan terjadi adalah:

¤Inadequate documentation / dokumentasi tidak memadai

¤Program fraud / penipuan program

¨Rekomendasi: pisahkan fungsi analis sistem dan pemrograman aplikasi

Tujuan Audit pada strukturisasi fungsi TI

¨Melakukan penilaian resiko mengenai pengembangan, pemeliharaan dan operasional sistem

¨Memverifikasi bahwa orang dengan pekerjaan yang tidak kompatibel telah dipisah sesuai dengan tingkat potensi resikonya.

¨Memverifikasi bahwa pemisahan tersebut dilakukan agar mendorong hubungan formal di lingkungan kerja

 Prosedur Audit pada strukturisasi fungsi TI

¨Mendapatkan dan mengkaji kebijakan perusahaan atas keamanan komputer.

¨Memverifikasi bahwa kebijakan perusahaan dikomunikasikan ke para karyawan dan supervisor yang bertanggungjawab.

¨Mengkaji dokumen yang terkait, termasuk struktur organisasi , pernyataan misi, dan deskripsi pekerjaan agar dapat menentukan apakah ada orang atau kelompok yang menjalankan fungsi yang tidak bersesuaian.

¨Mengkaji dokumentasi sistem dan catatan pemeliharaan untuk mencari contoh aplikasi.

¨Memverifikasi bahwa programmer pemeliharaan yang ditugaskan untuk proyek tertentu bukan programmer desain sebelumnya.

¨Melalui observasi, tentukan apakah kebijakan pemisahan pekerjaan diikuti dalam praktiknya.

¨Mengkaji daftar akses (access control list) operasional untuk menetapkan apakah programmer masuk ke fasilitas tersebut untuk alasan lain selain alasan kegagalan sistem

¨Mengkaji hak-hak dan keistimewaan user untuk memverifikasi bahwa programmer memiliki izin akses yang sesuai dengan deskripsi pekerjaan.

 

Resiko yang berkaitan dengan distributed data processing (DDP)

¨Ketidak efisienan penggunaan sumber daya

1.Resiko terjadinya kesalahan manajemen karena jumlah user terlalu banyak

2.Resiko peranti keras dan lunak tidak sesuai satu sama lain bila pembeliannya diserahkan ke user

3.Resiko terjadinya pekerjaan yang redundan (rangkap) berkaitan dengan aktivitas dan tanggung jawab user.

¨Kerusakan jejak audit (audit trail)

¤Jejak audit bisa hilang bila ditempatkan di komputer user

¤Simpan jejak audit dalam server untuk meningkatkan keamanan file jejak audit

¨Pemisahan tugas yang tidak memadai

¤Pemisahan tugas untuk orang yang menulis program aplikasi dengan yang melakukan pemeliharaan program, dan yang memasukkan data transaksi ke dalam komputer, dan yang mengoperasikan perlengkapan komputer kadang tidak dapat dilakukan dalam beberapa lingkungan terdistribusi

¨Mempekerjakan profesional yang berkualitas untuk mengurangi potensi kesalahan pemrograman dan kegagalan sistem

¨Kurangnya standar

 Tujuan audit dalam distributed data processing (DDP)

¨Melakukan penilaian resiko atas fungsi TI DDP

¨Memverifikasi bahwa unit-unit TI yang terdistribusi menggunakan standar kinerja keseluruhan perusahaan yang mendorong kesesuaian antara piranti keras, aplikasi piranti lunak dan data.

Prosedur audit dalam distributed data processing (DDP) 

¨Memverifikasi bahwa berbagai kebijakan dan standar perusahaan untuk desain sistem, dokumentasi dan pengadaan peranti keras dan lunak telah dikeluarkan dan disebarluaskan ke berbagai unit TI

¨Mengkaji struktur organisasi, misi, dan deskripsi pekerjaan terkini berbagai fungsi utama, untuk menentukan apakah ada karyawan atau kelompok yang melakukan pekerjaan yang tidak saling bersesuaian

 

¨Memverifikasi bahwa ada pengendalian pengganti seperti supervisi dan pengawasan manajemen dilakukan ketika pemisahan pekerjaan tidak saling bersesuaian secara ekonomi tidak mungkin dilakukan

¨Mengkaji dokumentasi sistem untuk memverifikasi bahwa berbagai aplikasi, prosedur dan basis data yang didesain berfungsi sesuai dengan standar perusahaan 

¨Memverifikasi bahwa tiap karyawan diberikan ijin akses sistem ke berbagai program dan data sesuai dengan deskripsi pekerjaannya.

 

Tujuan Audit pada pengendalian pusat komputer

¨Memverifikasi:

¤Pengendalian keamanan fisik memadai

¤Backup keamanan fisik memadai

¤Dokumentasi operator memadai

 

Prosedur Audit pada pengendalian pusat komputer

¨Pengujian konstruksi fisik

¨Pengujian sistem deteksi kebakaran

¨Pengujian pasokan listrik cadangan

¨Pengujian cakupan asuransi

¨Pengujian pengendalian dokumentasi operator

Tugas: 

¨Jelaskan tentang tujuan audit dan prosedur audit pada:

1.Perencanaan Pemulihan Bencana

2.Pengendalian toleransi kegagalan sistem

3.Pengendalian keseluruhan sistem

4.Kebijakan password / kata sandi

5.Pengendalian Jejak Audit Elektronik

6.Pengembangan Sistem dan Prosedur Pemeliharaan yang tidak memadai

¨Buat di blog sendiri dengan menyebutkan nama kelompoknya (beritahu sumbernya)

¨Buat komentar di link ke tekno-info-komunikasi.blogspot.com